MAC偽造問題

在 MAC 偽造中，是否假設攻擊者擁有密鑰？我在維基百科中找到了這個，但仍然不清楚。

存在性偽造是（由對手）創建至少一個消息/簽名對 (m, σ)，其中 σ 不是由合法簽名者產生的。對手不需要對 m 有任何控制權，m 不需要有任何特定的含義；消息內容是無關緊要的——只要 (m, σ) 對是有效的，對手就成功地建構了一個存在的偽造品。

該條目的關鍵部分是“……其中 σ 不是由合法簽名者產生的。 ”。合法簽名者是密鑰持有者。我們假設對手不擁有密鑰，但無論如何都希望有一種方法來生成 MAC 標籤。

線上 應用密碼學手冊第 9 章中的定義 9.7定義了 MAC，並說（我的粗體字）：

此外，給定函式族的描述 $ h $ , 對於每個固定的允許值 $ k $ （對手未知），以下屬性成立：[…計算阻力屬性的定義…]

定義之後的以下文本也沒有意義，除非關鍵 $ k $ 是秘密：

如果計算阻力不成立，則 MAC 算法會受到MAC 偽造的影響。雖然計算抗性意味著密鑰不可恢復的屬性（它必須在計算上不可行才能恢復 $ k $ , 給定一個或多個 text-MAC 對 $ (x_i, h_k(x_i)) $ 為了那個原因 $ k $ )，密鑰不可恢復並不意味著計算阻力（密鑰並不總是需要實際恢復以偽造新的 MAC）。

該手冊有點過時，但它對這些基本定義非常有用。

引用自：https://crypto.stackexchange.com/questions/41539